视频流会对安全构成威胁吗？

Question

最近我一直在想，如果通过视频流你可以感染某种类型的恶意软件，这是可能的吗？我有两种情况要考虑，假设我流了一个上传到云存储服务上的视频，比如google驱动器，它包含恶意软件，我知道视频文件被转换成代码，显示了360 p和720 p两种分辨率的预览，那么在转码恶意软件之后，它会被删除吗？第二个场景是Mega.nz --我不知道他们的服务是如何工作的--但是让我们假设他们没有对视频文件进行转码，所以这个文件就会像原来的那样被传输，在这种情况下，如果有人将一个视频文件上传到Mega.nz云服务，它包含了恶意软件，让我说我可以获得恶意软件吗？

我知道流媒体的本质是它只下载文件(缓冲器)的一部分，然后在播放这些文件之后删除下载的文件，但我不知道流的工作方式是否完全消除了获得恶意软件的可能性，或者是否存在感染的可能性，可能会利用浏览器或应用程序中的一些漏洞。

另外，你认为更易受攻击的选项是通过网络浏览器进行流，还是通过google驱动器或超级android应用程序流。

最后，我不知道视频编解码器或格式在这里是否起作用，在某个地方我读到mp4是一种安全的格式，但我对此不太了解。

我知道这是个很长的问题，但是谢谢你的阅读，如果你能澄清我的疑虑，我会非常感激的。

谢谢

Answer 1

视频文件通常只是图像和声音数据，包含额外的元数据。它通常不包含任何类型的可执行代码，因此，通常视频文件是安全的。

但是，您使用的视频播放器可能存在类似缓冲区溢出的安全问题，视频文件可能会被精心编制以利用该视频播放器并运行恶意软件。实际上，每一个处理不可信数据的非平凡程序都是如此，而这些程序并不是专门用于视频播放器的。

一般来说，这也不是传播恶意软件的好方法，因为人们倾向于使用各种不同的视频播放器来处理数据，其中包含不同的编解码器。因此，即使有人分发了利用视频播放器A的恶意视频文件，它也可能不会在视频播放器B上恶意(甚至可能不会呈现)。这并不是说它不会发生，也不会发生，但是有更有效的方法来传播通用恶意软件。

我唯一会把它当作威胁模型来关注的是，如果它是一种有针对性的攻击，攻击者就会创建一个恶意文件，专门攻击您或您的公司，并将其瞄准他们知道您使用的软件。但是，在这种情况下，您可能不是，即使是这样，遵循关于安全性的标准最佳实践是防止这种情况的最有效方法。

转码文件很可能会防止恶意软件被利用，如果问题在编解码器(这是许多这样的安全问题往往会发生)，但问题也可能是元数据解析器或其他格式独立的代码，在这种情况下，它不会有任何影响。我不会在视频可能包含恶意软件的偶然情况下对其进行转码。

在这里，你最好的防御方法是让你的软件跟上安全补丁的步伐。这意味着让你的网页浏览器、操作系统和其他你使用的软件，包括任何视频播放器，都是最新的。如果您正为此目的使用手机，请确保您使用的是一个模型，只要您拥有它，就会定期提供安全更新，并迅速应用它们。

您也可以选择更有信誉的网站的内容。例如，Netflix不太可能为您提供恶意软件。我意识到人们生活在现实世界中，所以这可能并不总是实际的，但是如果你非常担心这种可能性，那么也许你想采用这种方法。